Журнал "Information Security/ Информационная безопасность" #3, 2021

ников аномалии, которые могут свиде- тельствовать о ранних признаках кор- поративного мошенничества, зарожде- нии коррупционных схем, о предпосыл- ках к возникновению утечек информа- ции, о скором увольнении сотрудников и т.п. Это дает возможность службам безопасности прогнозировать риски, заниматься профилактикой нарушений, повышать выявляемость. Анализ пове- дения помогает фокусироваться на тех областях, где риск возникновения угроз максимально высок. Компании enterprise-сегмента, как пра- вило, имеют территориально распреде- ленную структуру. Здесь требуются решения, компоненты которых физиче- ски размещаются по всей стране, а из единого центра можно ими управлять, проводить сквозные расследования, видеть общую аналитику. Такая система должна обеспечивать надежную работу вне зависимости от степени децентра- лизации ИТ-инфраструктуры и пропуск- ной способности каналов предприятия. Еще один аспект – требования к без- опасности самой DLP-системы. Навер- ное, "средние" требования зависят от решаемых задач и величины потенци- ального ущерба. Основная задача СЗИ – не только обеспечить функциональ- ность, но и защитить пользовательскую информацию от потери целостности, конфиденциальности и доступности. Для этого в ПО закладываются функции безопасности, которые различаются для систем разных категорий. И там, где одной компании будет достаточно соот- ветствия требованиям к средствам конт- роля подключения съемных машинных носителей от 2014 г., минимальным тре- бованием другой будет соответствие уровню доверия для систем I класса защищенности. Это то, что сегодня де-факто уже является стандартом отрасли. А теперь о том, что отличает наиболее передовые системы. …Или на роскошном Rolls-Royce? Обычно, когда говорят про продвинутую DLP-систему, подразумевают наличие широкой функциональности. И этот аспект важен. Однако, на мой взгляд, класс систе- мы определяется удобством использова- ния, продуманностью деталей и высоким качеством реализации каждой функции. То, что в небольшой компании является досадным неудобством, в масштабе круп- ной корпорации выливается в колоссаль- ные потери времени. Так, например, в одной из версий мы изменили дизайн карточки сообщения, сделав ее больше и лучше структурировав, однако допустили usability-ошибку: контрастность важных для анализа параметров в новом дизайне оказалось недостаточной. Это привело к заметному снижению скорости работы группы реагирования на инциденты одного крупного заказчика. Поэтому высокая сте- пень автоматизации рутинных процессов и операций ИБ-службы, столь значимая для крупных компаний, пока относится к "люксовым" возможностям DLP. Сегодня DLP-система является инстру- ментом корпоративной безопасности в целом, применяемым для решения таких задач, как профилирование и выявление групп риска, мониторинг групп особого контроля, выявление признаков мошен- ничества и коррупции, расследование гипотез, управление конфликтом инте- ресов и т.п. Это значит, что у DLP появи- лось большое количество функциональ- ных пользователей, которым необходимо обеспечить конфиденциальность работы. Это совершенно иной уровень требова- ний к разделению прав пользователей. Достигшая определенной зрелости компания приходит к осознанию необхо- димости интеграции DLP в экосистему безопасности. Здесь от DLP-системы требуется наличие развитых средств интеграции со смежными системами. Если раньше в стандарт интеграции входили AD, прокси и SIEM и лишь отдельные заказчики выгружали данные DLP в BI, то сейчас появился спрос на интеграцию с IGA, IRM, IRP. А нужен ли вообще автомобиль? Необходимость системы безопасности определяется величиной и приемле- мостью потенциального ущерба. Приемлема ли утечка конструкторской документации предприятия оборонного комплекса к вероятному противнику? Как это скажется на обороноспособности страны? А утечка логинов и паролей от сотрудника металлургического пред- приятия, приведшая к кибератаке и эко- логической катастрофе? Каков ущерб от утечки к конкуренту базы благонадежных заемщиков неболь- шого банка? Как это повлияет на доход- ность и устойчивость бизнеса? Или, скажем, срыв выполнения гос- контракта и попадание в реестр недоб- росовестных подрядных организаций как результат накопившейся критич- ной массы нарушений в процессе взаимодействия в течение длитель- ного времени с большим количеством субподрядчиков. Такой ситуации можно было избежать, поставив на мониторинг коммуникации по ключе- вой сделке. Так нужен ли вам автомобиль? l • 15 DLP www.itsec.ru Ваше мнение и вопросы присылайте по адресу is@groteck.ru Реклама